网络运维：概述安全连接技术SSL

网络运维：概述安全连接技术SSL

SSL概述

概述

· 提供较高的安全性保证。SSL利用数据加密、身份验证和消息完整性验证机制，保证网络上数据传输的安全性。

· 支持各种应用层协议。虽然SSL设计的初衷是为了解决万维网安全性问题，但是由于SSL位于应用层和传输层之间，它可以为任何基于TCP可靠连接的应用层协议提供安全性保证。

· 部署简单。目前SSL已经成为网络中用来鉴别网站和网页浏览者身份，在浏览器使用者及Web服务器之间进行加密通信的全球化标准。

SSL从以下几方面提高了设备的安全性：

· 通过SSL协议保证合法客户端可以安全地访问服务器，禁止非法的客户端访问服务器。

· 客户端与服务器之间交互的数据需要经过加密和摘要，加密保证了传输的安全性，摘要保证了数据的完整性，从而实现了对设备的安全管理。

· 为设备制定基于证书属性的访问控制策略，对客户端的访问权限进行控制，进一步避免了非法客户对设备进行攻击。

基本概念

· CA（Certificate Authority）

CA是发放、管理、废除数字证书的机构。CA的作用是检查数字证书持有者身份的合法性，并签发数字证书（在证书上签字），以防证书被伪造或篡改，以及对证书和密钥进行管理。国际上被广泛信任的CA，被称之为根CA。根CA可授权其它CA为其下级CA。CA的身份也需要证明，而证明信息在信任证书机构文件中描述。

如果服务器端的证书由CA3签发，则在客户端验证证书的过程从服务器端的证书有效性验证开始。先由CA3证书验证服务器端证书的有效性，如果通过则再由CA2证书验证CA3证书的有效性，最后由最上级CA1证书验证CA2证书的有效性。只有通过最上级CA证书即根证书的验证，服务器证书才会验证成功。

证书签发过程与证书验证过程如图1所示。

图1证书签发过程与证书验证过程示意图

· 数字证书

用户必须事先获取信息发送者的公钥证书，以便对信息进行解码认证，同时还需要CA发送给发送者的证书，以便用户验证发送者的身份。

CRL由CA发布，它指定了一套证书发布者认为无效的证书。

CRL提供了一种检验证书有效性的方式，当终端实体需要验证对端证书合法性时，通常需要检查对端证书的CRL，判断该证书是否被撤销。

协议安全机制

SSL协议提供的安全机制如下：

· 连接的私密性

· 身份验证机制

基于证书利用数字签名方法对服务器和客户端进行身份验证。SSL服务器和客户端通过公钥基础设施PKI（Public Key Infrastructure）提供的机制从CA获取证书。

· 内容的可靠性

消息传输过程中使用基于密钥的消息验证码MAC（Message Authentication Code）来检验消息的完整性。

MAC算法是将密钥和任意长度的数据转换为固定长度数据的一种算法。

§ 发送端在密钥参与下，利用MAC算法计算出消息的MAC值，并将其加在消息之后发送给接收端。

§ 接收端利用同样的密钥和MAC算法计算出消息的MAC值，并与接收到的MAC值比较。

如果二者相同，则报文没有改变。否则，报文在传输过程中被修改，接收端将丢弃该报文。